kube-apiserver准入

最新推荐文章于 2024-06-13 10:54:00 发布
最新推荐文章于 2024-06-13 10:54:00 发布
阅读量746 收藏 2
点赞数
分类专栏: 云原生 文章标签: 云原生 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaotl/article/details/125590543
版权

前面介绍了认证和授权,接下来看看kube-apiserver的准入机制。准入控制过程分为两个阶段,第一阶段,运行变更准入控制器。第二阶段,运行验证准入控制器。注意,某些控制器既是变更准入控制器又是验证准入控制器。

 kubenetes内置了很多准入控制器,具体如下所示

  • AlwaysPullImages:此准入控制器修改每个 Pod 的时候都强制重新拉取镜像。
  • DefaultStorageClass:此准入控制器观察创建PersistentVolumeClaim时不请求任何特定存储类的对象,并自动向其添加默认存储类。这样,用户就不需要关注特殊存储类而获得默认存储类。
  • DefaultTolerationSeconds:此准入控制器将Pod的容忍时间notready:NoExecute和unreachable:NoExecute 默认设置为5分钟。
  • DenyEscalatingExec:此准入控制器将拒绝exec 和附加命令到以允许访问宿主机的升级了权限运行的pod。
  • EventRateLimit (alpha):此准入控制器缓解了 API Server 被事件请求淹没的问题,限制时间速率。
  • ExtendedResourceToleration:此插件有助于创建具有扩展资源的专用节点。
  • ImagePolicyWebhook:此准入控制器允许后端判断镜像拉取策略,例如配置镜像仓库的密钥。
  • Initializers (alpha):Pod初始化的准入控制器,详情请参考动态准入控制。
  • LimitPodHardAntiAffinityTopology:此准入控制器拒绝任何在 requiredDuringSchedulingRequiredDuringExecution 的 AntiAffinity 字段中定义除了kubernetes.io/hostname 之外的拓扑关键字的 pod 。
  • LimitRanger:此准入控制器将确保所有资源请求不会超过 namespace 的 LimitRange。
  • MutatingAdmissionWebhook (1.9版本中为beta):该准入控制器调用与请求匹配的任何变更 webhook。匹配的 webhook是串行调用的;如果需要,每个人都可以修改对象。
  • NamespaceAutoProvision:此准入控制器检查命名空间资源上的所有传入请求,并检查引用的命名空间是否存在。如果不存在就创建一个命名空间。
  • NamespaceExists:此许可控制器检查除 Namespace 其自身之外的命名空间资源上的所有请求。如果请求引用的命名空间不存在,则拒绝该请求。
  • NamespaceLifecycle:此准入控制器强制执行正在终止的命令空间中不能创建新对象,并确保Namespace拒绝不存在的请求。此准入控制器还防止缺失三个系统保留的命名空间default、kube-system、kube-public。
  • NodeRestriction:该准入控制器限制了 kubelet 可以修改的Node和Pod对象。
  • OwnerReferencesPermissionEnforcement:此准入控制器保护对metadata.ownerReferences对象的访问,以便只有对该对象具有“删除”权限的用户才能对其进行更改。
  • PodNodeSelector:此准入控制器通过读取命名空间注释和全局配置来限制可在命名空间内使用的节点选择器。
  • PodPreset:此准入控制器注入一个pod,其中包含匹配的PodPreset中指定的字段,详细信息见Pod Preset。
  • PodSecurityPolicy:此准入控制器用于创建和修改pod,并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。
  • PodTolerationRestriction:此准入控制器首先验证容器的容忍度与其命名空间的容忍度之间是否存在冲突,并在存在冲突时拒绝该容器请求。
  • Priority:此控制器使用priorityClassName字段并填充优先级的整数值。如果未找到优先级,则拒绝Pod。
  • ResourceQuota:此准入控制器将观察传入请求并确保它不违反命名空间的ResourceQuota对象中列举的任何约束。
  • SecurityContextDeny:此准入控制器将拒绝任何试图设置某些升级的SecurityContext字段的pod 
  • ServiceAccount:此准入控制器实现serviceAccounts的自动化。
  • 用中的存储对象保护:该StorageObjectInUseProtection插件将kubernetes.io/pvc-protection或kubernetes.io/pv-protection终结器添加到新创建的持久卷声明(PVC)或持久卷(PV)。在用户删除PVC或PV的情况下,PVC或PV不会被移除,直到PVC或PV保护控制器从PVC或PV中移除终结器。有关更多详细信息,请参阅使用中的存储对象保护。
  • ValidatingAdmissionWebhook(1.8版本中为alpha;1.9版本中为beta):该准入控制器调用与请求匹配的任何验证webhook。匹配的webhooks是并行调用的;如果其中任何一个拒绝请求,则请求失败。

查看已经开启的准入控制器(kube-apiserver -h | grep enable-admission-plugins)

还可以通过如下命令开启或者关闭某个准入控制器

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ...
kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ...

除默认的控制插件外,kubernetes还支持自定义准入控制插件,用户可自定义变形插件(MutatingWebhookConfiguration)和校验插件(ValidatingWebhookConfiguration),变形插件支持对准入对象进行修改,校验插件支持对准入的对象合法性进行校验,不能修改。接下来就看看如何自定义一个MutatingWebhook,MutatingWebhook的demo代码请看这里

以下是Webhook服务中mutating逻辑主要代码,可以看到如果创建pod时没有指定runAsNonRoot和runAsUser,那么runAsUser会被mutating成1234,如果设置runAsRoot=false,那么runAsUser会被这只为0,如果runAsNonRoot设置为true且runAsUser设置为0,那么会报错。

 在上面的demo代码的examples的目录下有三个pod文件,用于验证上面的webhook mutating逻辑。pod的yaml文件如下所示:

pod-with-default yaml file

未设置runAsNonRoot和runAsUser,pod创建后,会显示I am running as user 1234
apiVersion: v1
kind: Pod
metadata:
  name: pod-with-defaults
  labels:
    app: pod-with-defaults
spec:
  restartPolicy: OnFailure
  containers:
    - name: busybox
      image: busybox
      command: ["sh", "-c", "echo I am running as user $(id -u)"]

pod-with-override yaml file

runAsNonRoot设置为false,未设置runAsUser值,启动pod后,会显示I am running as user 0
apiVersion: v1
kind: Pod
metadata:
  name: pod-with-override
  labels:
    app: pod-with-override
spec:
  restartPolicy: OnFailure
  securityContext:
    runAsNonRoot: false
  containers:
    - name: busybox
      image: busybox
      command: ["sh", "-c", "echo I am running as user $(id -u)"]

pod-with-conflict yaml file

runAsNonRoot设置为true,且runAsUser设置为0,启动pod时会报错,无法成功创建pod
apiVersion: v1
kind: Pod
metadata:
  name: pod-with-conflict
  labels:
    app: pod-with-conflict
spec:
  restartPolicy: OnFailure
  securityContext:
    runAsNonRoot: true
    runAsUser: 0
  containers:
    - name: busybox
      image: busybox
      command: ["sh", "-c", "echo I am running as user $(id -u)"]

接下来将演示上面的过程,看看是否如预期的一样。

1.下载代码

2.执行deploy.sh 脚本

cd admission-controller-webhook-demo/
./deploy.sh

3.查看web-hook服务是否已经启动,如果已经启动,那么通过kubectl create -f podYamlFile创建上面三种类的pod。执行部署shell脚本后,可以看到webhook服务已经成功启动

创建pod,可以看到default pod创建成功后,查看log信息,user被设置为1234,创建conflict pod,创建失败,显示错误信息。

 创建override pod,user被设置为0.

以上pod创建过程的信息说明webhook按期望的逻辑执行。 接着我们看看deploy.sh文件中具体是如何完成部署的,具体内容如下所示:可以看到部署文件中将ca.crt进行base64编码后放到部署的template文件中,另外,创建了secret,里面存放了webhook的crt和key信息。

一下是generatekey.sh文件,可以看到主要是通过openssl创建了ca的key和crt,webhook server的key和crt,并存放到相应目录。通过这些配置,就可以通过https的方式访问webhook的服务了。

最后再来看看pod部署的template文件,可以看到在Deployment文件中设置了secret信息,也就是签发给webhook服务的证书信息,另外,在webhookmutatingconfiguration中设置了证书签发机构的crt信息,即ca.crt信息。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: webhook-server
  namespace: webhook-demo
  labels:
    app: webhook-server
spec:
  replicas: 1
  selector:
    matchLabels:
      app: webhook-server
  template:
    metadata:
      labels:
        app: webhook-server
    spec:
      securityContext:
        runAsNonRoot: true
        runAsUser: 1234
      containers:
      - name: server
        image: cncamp/admission-controller-webhook-demo:latest
        imagePullPolicy: Always
        ports:
        - containerPort: 8443
          name: webhook-api
        volumeMounts:
        - name: webhook-tls-certs
          mountPath: /run/secrets/tls
          readOnly: true
      volumes:
      - name: webhook-tls-certs
        secret:
          secretName: webhook-server-tls
---
apiVersion: v1
kind: Service
metadata:
  name: webhook-server
  namespace: webhook-demo
spec:
  selector:
    app: webhook-server
  ports:
    - port: 443
      targetPort: webhook-api
---
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: demo-webhook
webhooks:
  - name: webhook-server.webhook-demo.svc
    sideEffects: None
    admissionReviewVersions: ["v1", "v1beta1"]
    clientConfig:
      service:
        name: webhook-server
        namespace: webhook-demo
        path: "/mutate"
      caBundle: ${CA_PEM_B64}
    rules:
      - operations: [ "CREATE" ]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
taoli-qiao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kube-apiserver配置详情
隔壁老瓦的专栏
10-25 1352
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1658
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
深入理解Kube-APIServer
Kason_iWiki
01-18 3716
文章目录API Server访问控制概览访问控制细节认证认证插件 API Server kube-apiserverKubernetes最重要的核心组件之一,主要提供以下的功能 • 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等 • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd) 访问控制概览 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及
18.准入控制器
LQ的博客
10-22 313
18.准入控制器 Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的! 1.什么是准入控制器? 准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子: MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置
那个那个
11-08 896
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置。
kubernetes/k8s源码分析】 kube-apiserver admission controller 源码分析
zhonglinzhang
07-04 7033
kubernetes git version: v1.14 初始化阶段admission代码流程 main --> NewAPIServerCommand --> NewServerRunOptions -->kubeoptions.NewAdmissi...
kube-apiserver启动命令参数解释
小云的博客
03-07 3762
apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
k8s.gcr.io/kube-apiserver:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-apiserver:v1.17.3镜像包,版本为v1.17.3。文件是kube-controller-manager_v_1_17.3.tar
kube-apiserver.rar
01-09
kube-apiserver.rarkube-apiserver.rarkube-apiserver.rarkube-apiserver.rar
kube-apiserver-amd64-v1.11.1
09-26
kube-apiserver-amd64-v1.11.1镜像,镜像使用方法: docker load -i kube-apiserver-amd64-v1.11.1.tar.gz
k8s.gcr.io/kube-apiserver:v1.12.2
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst docker load < kube-apiserver.v1.12.2.tar docker tag 51a9c329b7c5 k8s.gcr.io/kube-apiserver:v1.12.2
kube-apiserver
12-09
kube-apiserver:v1.13.1
Kubernetes14--Kubeadm详解
大魔王
12-06 1884
之前用Kubeadm安装k8s集群遇到了好多问题,后来想扩展CoreDns,Metrics-server等功能发现对于内部机理不太清楚,因此把kubeadm的内部机理学习一下。 kubeadm的常见命令: 主要学习一下init初始化过程: 使用kubeadm来部署集群的一般步骤: kubeadm init export KUBECONFIG=/etc/kubernetes/admin...
k8s v1.10部署笔记
热门推荐
watermelonbig的专栏
07-02 3万+
本文是根据最近一份github上很不错的部署教程所做的验证部署测试,不同之处在于原教程中是3节点,而这里共使用了4个节点。Github上的教程地址如下所示,推荐大家参照原作者文章进行自己的实验。在本文中遇到的一些问题,也已经反馈至github issue或讨论中,同时也有很多其他网友反馈遇到或发现的一些问题,其中大部分问题都已经在github教程中得到了校正。https://github.com/...
k8s(四)、微服务框架istio安装测试
ywq935的博客
06-06 5306
一、前言 Istio是Google/IBM/Lyft联合开发的开源项目,2017年5月发布第一个release 0.1.0,Service Mesh微服务新秀,采用sidecar的实现方式,有着高性能、极低的资源开销、无代码入侵等优秀特性,扛起微服务大旗,并与当下火热的k8s Paas容器云平台深度整合。官方描述为: An open platform to connect, manage, a...
Kubernetes10--API访问控制
大魔王
12-03 1542
使用API来访问k8s集群,方便使用第三方客户端来访问和管理k8s集群资源,在此准备使用Java语言来封装API使用。 1.API Server 配置文件解析 如上图所示,k8s集群中主要使用Api Server来作为系统通信的中心,因此使用api相当于主要与api server来进行信息交互。 在此之前使用kubeadm方式来部署k8s集群,查看一下apiserver的yaml文件: ...
bartender的安全策略不允许指定的用户执行此操作_如何以非root用户运行Docker容器...
weixin_39910963的博客
11-24 867
需要用root用户运行Docker?组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行,但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主机的攻击者,提供了机会。只需在常用的任何镜像上使用以下命令,你就可以自...
云原生Kubernetes----Metrics-Server组件与HPA资源
最新发布
hy199707的博客
06-13 1308
Kubernetes集群中,为了确保资源的有效利用和应用的高可用性,我们通常需要监控集群中各个Pod的资源使用情况,并根据这些信息进行相应的调整。Horizontal Pod Autoscaler (HPA) 就是这样一种机制,它可以根据Pod的资源使用情况自动调整Pod的副本数量。而Metrics-Server,作为Kubernetes的一个核心组件,为HPA提供了关键的度量数据支持。本文将详细解析Metrics-Server与HPA之间的关系、工作原理以及它们在实际应用中的重要性
kube-apiserver CrashLoopBackOff
08-31
您好!对于 `kube-apiserver CrashLoopBackOff` 的问题,这通常意味着 `kube-apiserver` 正在以某种方式崩溃并无法成功启动。`kube-apiserver` 是 Kubernetes 集群中的核心组件之一,它负责提供 Kubernetes API 服务。 以下是一些可能导致 `kube-apiserver CrashLoopBackOff` 的常见原因和解决方法: 1. 资源不足:请确保您的集群具有足够的资源(CPU、内存等)来运行 `kube-apiserver`。您可以通过查看集群节点的资源使用情况来确认是否出现资源不足的问题。 2. 配置错误:检查 `kube-apiserver` 的配置文件是否正确。特别是确保配置文件中的证书、密钥以及相关配置参数的值是正确的,并且与其他组件相匹配。 3. 存储问题:`kube-apiserver` 可能无法访问其所需的存储。请确保所需的存储卷挂载正确,并且可供 `kube-apiserver` 访问。 4. 网络问题:检查网络连接是否正常。确保 `kube-apiserver` 可以与其他组件(如 etcd、kubelet 等)通信。 5. 版本不兼容:如果您升级了 Kubernetes 版本或其中一个组件,可能会导致与 `kube-apiserver` 不兼容的问题。请确保所有组件的版本匹配,并且与 Kubernetes 版本兼容。 以上是一些常见的解决方法,您可以根据具体情况尝试逐一解决。如果问题仍然存在,请提供更多细节和日志,以便能够更好地帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

taoli-qiao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值